Como evito a assimetria na VPN baseada em rotas com roteamento estático?
Quero evitar o roteamento assimétrico em uma VPN baseada em rotas configurada para roteamento estático.
Breve descrição
O AWS Site-to-Site VPN fornece dois endpoints por conexão VPN para alcançar a mesma rede de destino. A AWS usa qualquer um dos túneis ativos para rotear o tráfego para o mesmo destino.
Os túneis VPN geralmente são hospedados em firewalls “de estado”. Os dispositivos de firewall esperam que um pacote use a mesma interface de túnel para enviar e receber tráfego. O roteamento assimétrico ocorre quando o pacote entra na Amazon Virtual Private Cloud (Amazon VPC) por meio de um túnel e sai pelo outro túnel na mesma VPN site a site. Quando o pacote retorna por outra interface de túnel, não corresponde à sessão “de estado” e, portanto, é descartado.
Resolução
Não é necessário criar uma nova VPN com roteamento dinâmico para resolver o problema do roteamento assimétrico. Em vez disso, continue usando o roteamento estático depois de fazer alterações para refletir a lógica de roteamento dinâmico, conforme apresentado abaixo.
Pré-requisito
Confirme se você tem roteamento assimétrico verificando as métricas do Amazon CloudWatch:
Veja as métricas de cada túnel
Se você tiver apenas uma conexão VPN com configuração ativa/ativa:
- Abra o console do CloudWatch.
- No painel de navegação, escolha Métricas.
- Em Todas as métricas, escolha o namespace métrico da VPN.
- Selecione as Métricas de túnel VPN.
- Selecione as métricas do CloudWatch TunnelDataIn e TunnelDataOut. Se houver roteamento assimétrico, um túnel terá pontos de dados para a métrica TunnelDataIn. O segundo túnel tem pontos de dados para a métrica TunnelDataOut.
Exibir métricas de toda a conexão VPN (métricas agregadas)
Se você tiver várias conexões VPN:
- Abra o console do CloudWatch.
- No painel de navegação, escolha Métricas.
- Em Todas as métricas, escolha o namespace métrico da VPN.
- Selecione as Métricas de conexão VPN.
- Selecione as métricas do CloudWatch TunnelDataIn e TunnelDataOut. Se houver roteamento assimétrico, uma conexão tem pontos de dados para a métrica TunnelDataIn. A outra conexão tem pontos de dados para a métrica TunnelDataOut.
Para obter mais informações sobre métricas de túneis, consulte Monitoramento de túneis VPN usando o CloudWatch.
Cenários de roteamento assimétrico
Analise as opções a seguir para evitar o roteamento assimétrico nesses cenários:
Uma única conexão VPN configurada como ativa/ativa
Para evitar roteamento assimétrico:
- Use o recurso agregado IPsec se o gateway do cliente oferecer suporte. Para obter mais informações, consulte Agregado IPsec para balanceamento de carga de túneis) no site Fortinet.
- Se o gateway do cliente for compatível com o roteamento assimétrico, é preciso garantir que o roteamento assimétrico esteja ativado nas interfaces do túnel virtual.
- Se o gateway do cliente não for compatível com roteamento assimétrico, confirme se a configuração da VPN é ativa/passiva. Essa configuração identifica um túnel como UP (para cima) e o segundo túnel como DOWN (para baixo). Nessa configuração, o tráfego da AWS para a rede on-premises passa somente pelo túnel no estado UP. Para obter mais informações, consulte Como configuro minha VPN de site a site para preferir o túnel A em vez do túnel B?
Duas conexões VPN (VPN-Pry e VPN-sec) se conectam à mesma VPC
Nesse cenário, as conexões VPN se conectam ao mesmo Amazon VPC, usando o mesmo gateway privado virtual.
Observação: Esse cenário se aplica somente às conexões VPN com o gateway privado virtual.
Ambas as conexões:
- Use roteamento estático
- Anuncie os mesmos prefixos locais. Por exemplo, 10.170.0.0/20 e 10.167.0.0/20
- Conecte-se à mesma VPC por meio do gateway privado virtual
- Tenha diferentes IPs públicos do gateway do cliente
Implemente as medidas a seguir para evitar o roteamento assimétrico:
Rotas estáticas para VPN-Pry (conexão primária):
10.170.0.0/21
10.170.8.0/21
10.167.0.0/21
10.167.8.0/21
Rotas estáticas para VPN-sec (conexão secundária):
10.170.0.0/20
10.167.0.0/20
Nessas configurações, a AWS escolhe a VPN-Pry como a conexão preferencial em vez do VPN-sec. A AWS usa a correspondência de prefixo mais longa em sua tabela de rotas que corresponde ao tráfego para determinar como rotear o tráfego.
Observação: Se o gateway do cliente não tiver roteamento assimétrico nesse cenário, defina cada configuração de VPN como ativa/passiva. Isso identifica um túnel como ativo por conexão VPN. O tráfego passa para o túnel ativo da conexão secundária se os dois túneis da conexão ativa estiverem inativos.
Para obter mais informações sobre prioridade de rota de VPN, consulte as Tabelas rotas e prioridade de rota de VPN.
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos